Results 1 to 1 of 1

Thread: The Movie Cave

  1. #1
    Moderator Robot Territories Champion, Fish Shooter Champion, Bat & Mouse 2 Champion, Bloody Rage Champion, Hot Pepper vs The Water 3 Champion, Snowboard in switzerland Champion, New Years Night Champion, Anchovy Assault Free Play Champion, Kid Launcher Champion, Tropical Dragon Slaughter Champion
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,574
    Activity Longevity
    9/20 20/20
    Today Posts
    4/5 sssss3574

    The Movie Cave

    Tracker: The Movie Cave
    Source: NetVision by BonkeR

    Im Rahmen unserer TOG-Reviews haben wir The Movie Cave etwas eingehender untersucht.


    Serversicherheit

    OS: Linux, Debian 8
    Webserver: Apache
    PHP: 5.6.39
    SSH: OpenSSH 6.7p1 Debian-5+deb8u7

    Es gibt keine überflüssigen offenen Ports und SSH findet sich ebenfalls nicht auf dem Standardport. Eine Firewall konnten wir nicht feststellen. Falls eine existiert, ist sie in ihrer derzeitigen Konfiguration nicht effektiv genug.

    Erwähnen muss man an dieser Stelle noch den Serverstandort OVH in Frankreich. Als direktes Nachbarland und mit guten bilateralen Beziehungen zwischen Frankreich und Deutschland, ist der Standort kaum sicherer als Deutschland selber. Zudem hat sich OVH als Hoster für Tracker in der Vergangenheit nicht besonders bewährt.


    Trackersicherheit

    Hier wurde mal wieder blind irgendeine Tracker-Source installiert und davon ausgegangen, dass sie keine Lücken enthält. Insbesondere im deutschen Raum sollte man langsam wissen, dass dem fast nie so ist und man sich darauf auf keinen Fall verlassen darf.
    Genau das ist diesem Tracker zum Verhängnis geworden. Es sind einige gängige Sicherheitslücken zu finden, die unter anderem Zugriff auf die Datenbank ermöglichen. Proofs im Anschluss.
    Ebenfalls zu finden ist eine alte login.php, die man ohne Weiteres herunterladen kann (im Anhang). Das ist zwar kein Sicherheitsproblem, vorkommen sollte sowas allerdings trotzdem nicht.


    Proofs

    Datenbanken
    • information_schema
    • T-M-C-SOURCE


    Auszug Benutzertabelle

    id username class ip added email passhash
    1 Waitinghill 8 51.38.*.* 2015-02-08 11: 01:32 hat-keine@*.de 3eea216288ed943a97c22518e85edafe
    1846 Salomee 104 80.155.*.* 2018-05-04 17:11:11 unilady@*.de 1d4a556f092a3a212ac6c28480c90290
    1847 Luzifer 104 176.198.*.* 2018-05-04 17:14:10 tyson*@web.de 87066763918827e06b4b45fc6ef87d3d
    1848 hammer 105 91.10.*.* 2018-05-04 20:31:53 *hammer@online.de 5a92965cc883c94f6c176cfb71ec70a1
    1849 hessentroll 9 90.187.*.* 2018-05-06 17:37:48 hab_*@web.de 48beda8aab5163dbef3f65186acde009
    1850 Kammy 110 212.183.*.* 2018-05-07 18:54:34 ka*1@gmx.at d530c0139145c0235048a74a0a794950
    1863 Phoenix 9 109.40.*.* 2018-05-10 10:15:19 turm22@*.de 5cf899eec95d62dfccd30869c6aebfa8
    1864 Chowa 8 91.34.*.* 2018-05-10 10:26:13 chowa@*.de 1ad19c3c509a7736f6965d23e7943fb5
    1865 A.J 4 188.102.*.* 2018-05-10 10:40:35 mel*@yahoo.de 446d6b2810351e2307dc8f77914fe314
    1868 Kuchen 6 37.4.*.* 2018-05-10 20:28:29 timi*1@web.de 4d27cfb84f84bc783550886dfd7753ef


    Fazit

    Der Server ist mehr oder weniger in Ordnung, der Tracker leider überhaupt nicht. Es gibt mehrere Sicherheitslücken und ein Zugriff auf die Datenbank war in kürzester Zeit möglich. In diesem Zustand sollte kein Tracker online sein und stellt so eine Gefahr für sich und seine User dar. Daher hier ein dickes Unsafe.

    Attached Files Attached Files


    Reply With QuoteReply With Quote
    Thanks

  2. Who Said Thanks:

    trackeropi2 (17.03.19) , Rednesierder (16.03.19) , hunterman (13.03.19) , FlyingHeart (13.03.19) , jupp56 (13.03.19) , Flux (13.03.19) , Snitlev (13.03.19) , Nemesis (13.03.19)

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •